クラウドサーバと結ぶVPN環境を「OpenVPN」で構築する（後編）：DRBDの仕組みを学ぶ（9）（1/3 ページ）

災害対策システムのための「VPN環境を構築する方法」を解説する本稿。前編は、「OpenVPN」のインストールと設定方法を解説しました。後編では、その設定を済ませ、実際にシステムを稼働させるまでを解説します。

[澤田健，株式会社サードウェア]

連載バックナンバー

←（前編に戻る）

　「災害対策システム」を実現するには、メインサーバと遠隔地のサーバを結ぶVPN環境を構築する必要があります。

　前編では準備編として、オープンソースのVPNソフトウェアである「OpenVPN」のインストール方法と設定方法を説明しました。後編では、OpenVPNの設定を済ませ、実際にシステムを稼働させるまでを解説します。

（参考記事）DRBDの仕組みを学ぶ（8）：クラウドサーバと結ぶVPN環境を「OpenVPN」で構築する（前編）

（参考記事）ゼロ円でできるインターネットVPN

（参考記事）5分で絶対に分かるVPN

前回のおさらい

　今回構築する災害対策システムにおけるVPN環境は、本社にある一号機と、遠隔地に置く二号機を安全に接続するために用います（図1）。

図1　2台のサーバをVPNで接続する災害対策システムの構成イメージ

二号機（VPNクライアント）の「OpenVPN」設定

　前編で紹介したVPNサーバとする「一号機」の設定と同じように、VPNクライアントにする「二号機」の「/etc/openvpn/client.conf」ファイルを修正していきます。

• 16行目：VPNクライアントであることを定義します

client

/etc/openvpn/client.conf :16

• 24行目：デバイス名を指定します

dev tun0

/etc/openvpn/client.conf :24

• 37行目：使用するプロトコルを指定します

proto udp

/etc/openvpn/client.conf :37

• 42行目：接続先となるVPNサーバを指定します。今回の構築例では、一号機のグローバルIPアドレスを指定します。

remote <VPNサーバのグローバルIPアドレス> 1194

/etc/openvpn/client.conf :42

グローバルIPアドレスに関するワンポイント

　サーバ1台ごとにグローバルアドレスを振っていることはあまりないと思います。ここでは、前述した図1の東京支店にあるグローバルアドレスを記載します。そして、別途拠点内にあるルーターなどで外部からの1194ポートを使った通信を一号機に転送する設定をします。

　一方、小規模な環境やテスト用環境など、一号機を設置する拠点にグローバルアドレスがない場合は、VPNサーバとVPNクライアントの扱いを逆にしても問題はありません。クラウド環境のサーバならば、大抵はグローバルIPアドレスが付与されます。一号機をVPNクライアントに、二号機をVPNサーバとして、一号機側で二号機のグローバルアドレスを指定します。

• 61〜62行目：セキュリティを強化するための権限設定を記述します。

user nobody
group nobody

/etc/openvpn/client.conf :61

• 88〜90行目：CA証明書とクライアントの証明書および秘密鍵の場所を指定します。

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client.crt
key /etc/openvpn/keys/client.key

/etc/openvpn/client.conf :88

• 108行目：TLS認証鍵の場所を指定します。

tls-auth /etc/openvpn/keys/ta.key 1

/etc/openvpn/client.conf :108

• 118行目：圧縮を有効にする設定を記述します。

comp-lzo

/etc/openvpn/client.conf :118

• 121行目：ログの出力先を指定します。

verb 4

/etc/openvpn/client.conf :121

　以上で、OpenVPNの設定は完了です。